(Luận văn đại học thương mại) một số giải pháp bảo mật cho HTTT của công ty cổ phần cảnh nƣớc

LỜI CẢM ƠN Để hồn thành khóa luận này, bên cạnh cố gắng nỗ lực thân, em cũng nhận dẫn, giúp đỡ nhiệt tình của giáo viên hướng dẫn Th.S Hàn Minh Phương, cùng với sự hỗ trợ từ phía Cơng ty cổ phần Cảnh Nước Em xin gửi lời cám ơn tới Khoa Hệ thống thông tin kinh tế và Thương mại điện tử, Trường Đại học Thương mại, cám ơn các quý thầy cô khoa đã tận tình truyền đạt các kiến thức quý báu cho em suốt quá trình học tập và tạo điều kiện tốt nhất cho em hoàn thành đề tài khóa luận của mình Em xin được gửi lời cảm ơn tới cô Th.S Hàn Minh Phương – Giáo viên hướng dẫn tận tình bảo em suốt trình thực đề tài lời cảm ơn biết ơn sâu sắc Bên cạnh kiến thức khoa học, cô giúp em nhận học phong cách học tập, làm việc kinh nghiệm sống quý báu Bên cạnh đó, em cũng xin gửi lời cảm ơn tới các anh/chị thuộc Công ty cổ phần Cảnh Nước đã nhiệt tình giúp đỡ và tạo mọi điều kiện cho em tìm hiểu các hoạt động thực tiễn bên công ty, cung cấp các tài liệu cần thiết để em có thể thực hiện tốt bài khóa luận của mình Trong trình thực tập và làm khóa luận dù đã cố gắng thời gian và trình độ cịn hạn chế nên khơng thể tránh khỏi thiếu sót Em mong nhận ý kiến đóng góp, bở sung ý kiến của thầy, cô để khóa luận tốt nghiệp này được hoàn chỉnh Em xin chân thành cảm ơn ! Sinh viên thực Phạm Thị My i LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT .iv DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ v PHẦN I: PHẦN MỞ ĐẦU 1 Lý lựa chọn đề tài nghiên cứu .1 Mục tiêu và nhiệm vụ nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Nội dung khóa luận tốt nghiệp PHẦN II: NỘI DUNG CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN 1.1 Những khái niệm bản 1.1.1 Khái niệm chung 1.1.2 Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh nghiệp 1.2 Một số sở lý luận về an toàn bảo mật HTTT doanh nghiệp .10 1.2.1 Vai trò của an toàn bảo mật thông tin .10 1.2.2 Các nguy mất an toàn và bảo mật HTTT 10 1.2.3 Các giải pháp đảm bảo an toàn và bảo mật HTTT 12 1.2.4 Quy trình xây dựng hệ thống thông tin an toàn 16 1.3 Tổng quan tình hình nghiên cứu 18 1.3.1 Tình hình nghiên cứu nước .18 1.3.2 Tình hình nghiên cứu thế giới 18 CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT CHO CÔNG TY CỔ PHẦN CẢNH NƯỚC .20 2.1 Tổng quan về doanh nghiệp và tình hình hoạt động kinh doanh của doanh nghiệp 20 2.1.1 Giới thiệu chung về doanh nghiệp .20 2.1.2 Quá trình thành lập 20 ii LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2.1.3 Cơ cấu tổ chức 21 2.1.4 Lĩnh vực hoạt động .23 2.1.5 Kết hoạt động kinh doanh năm gần 23 2.2 Thực trạng vấn đề đảm bảo an toàn HTTT cho Công ty cổ phần Cảnh Nước 23 2.2.1 Phân tích thực trạng an tồn bảo mật thơng tin công ty 23 2.2.2 Đánh giá thực trạng bảo mật thông tin cho hệ thống thông tin công ty 35 CHƯƠNG 3: CÁC ĐỊNH HƯỚNG VÀ ĐỀ XUẤT VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN TRONG CÔNG TY CỔ PHẦN CẢNH NƯỚC 37 3.1 Định hướng phát triển công ty 37 3.2 Các đề xuất với công ty 37 3.2.1 Bảo mật bằng thiết lập máy tính an toàn 37 3.2.2 Nâng cấp hệ thống an toàn an ninh mạng công ty 40 3.2.3 Một số biện pháp phòng chống mã độc 43 3.2.4 Sơ bộ quy trình đánh giá kết quả cho các công cụ an toàn bảo mật HTTT44 3.3 Các kiến nghị với các tổ chức cấp cao 47 KẾT LUẬN 48 DANH MỤC TÀI LIỆU THAM KHẢO PHỤ LỤC iii LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC TỪ VIẾT TẮT Tên từ Giải nghĩa tiếng anh Giải nghĩa tiếng việt viết tắt ACL Access Control Danh sách quản lý truy cập, nhiệm vụ bản là lọc gói tin AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến CNTT CMAC CPU Công nghệ thông tin Cipher-based Message Authentication Mã xác thực tin nhắn dựa Code mật mã Central Processing Unit Bộ xử lý trung tâm CSDL DMZ Cơ sở liệu Demilitarized Zone Khu vực bảo mật thực ngăn lưu lượng Internet cách xa hệ thống mạng cục HTTT Hệ thống thông tin LAN Local Area Network Mạng cục RDBMS Relational Database Management System Hệ thống quản lý sở liệu SSL Secure Sockets Layer Giao thức an ninh thông tin mạng TCP/IP Transmission Control / Internet Protocol Bộ giao thức liên mạng TMĐT Thương mại điện tử VPN Virtual Private Network Mạng riêng ảo WLAN Wifi Local Area Network Mạng cục khơng dây WEP Wireless Encryption Protocol Giao thức mã hố mạng không dây WEP WPA WiFi Protected Access Giao thức mã hố mạng khơng dây WPA WPA2 WiFi Protected Access II Giao thức mã hố mạng khơng dây WPA2 iv LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ Bảng 2.1: Cơ cấu tổ chức nhân sự tại Công ty cổ phần Cảnh Nước 22 Bảng 2.2: Bảng báo cáo kết kinh doanh công ty ba năm 2014-2016 23 Bảng 2.3: Bảng thống kê sơ bộ về trang thiết bị các phòng ban công ty 24 Biểu đồ 2.1 Mức độ đảm bảo an toàn bảo mật HTTT công ty .28 Biểu đồ 2.2 Mức độ quan trọng thành phần HTTT công ty .29 Biểu đồ 2.3 Thách thức an tồn bảo mật liệu cơng ty 30 Biểu đờ 2.4 Mức độ an tồn, bảo mật thông tin công ty .31 Biểu đồ 2.5 Tần suất lưu liệu công ty .32 Biểu đồ 2.6 Giao thức bảo mật mạng không dây công ty .33 Biểu đồ2.7 Mức độ trang thiết bị phần cứng bảo mật công ty 34 Hình 2.1: Sơ đồ cấu tổ chức Công ty cổ phần Cảnh Nước 21 Hình 2.2 Cấu trúc mạng hình 25 Hình 3.1: Chức liệt kê các phần mềm được cài máy tính Programs and Features 38 Hình 3.2: Chức tưởng lửa máy tính .39 Hình 3.3: Chức thiết lập cập nhật các phần mềm và hệ điều hành Windows .40 Hình 3.4: Thiết bị định tuyến Cisco RV220W .41 Hình 3.5: Cấu hình điển hình 43 v LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHẦN I: PHẦN MỞ ĐẦU Lý lựa chọn đề tài nghiên cứu Trong tổ chức, doanh nghiệp việc thu thập nắm bắt thông tin vấn đề quan trọng Nó yếu tố mang lại thành công cho tổ chức, cá nhân biết tận dụng khai thác Cùng với phát triển mạnh mẽ công nghệ nay, việc thu thập, xử lý thông tin dễ dàng nhanh chóng Song song với phát triển này, với cách quản lý nhân lực, tài sản nói chung tài sản thơng tin nói riêng tổ chức, phát triển loại hình đánh cắp thơng tin, xâm nhập hệ thống thơng tin (HTTT) trái phép, bao gồm bên nội bên ngồi tổ chức Có thể coi HTTT thành phần quan trọng doanh nghiệp, định hoạt động hàng ngày doanh nghiệp Nhưng tầm quan trọng mà HTTT bị an tồn gây thiệt hại nặng nề cho doanh nghiệp Chính vậy, cần có giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp Là một doanh nghiệp kinh doanh lĩnh vực bất động sản, việc đảm bảo an toàn thông tin và HTTT doanh nghiệp là rất cần thiết, ảnh hưởng trực tiếp gián tiếp đến các hoạt động kinh doanh công ty Tuy nhiên, quá trình thực tập và tìm hiểu tại Công ty cổ phần Cảnh Nước, em thấy công ty chưa có đầu tư mức cho vấn đề an tồn bảo mật hệ thống thơng tin Trong cơng ty vẫn còn xảy tình trạng thất lạc thông tin dữ liệu, hệ thống gặp sự cố, sự đồng bộ hóa thông tin chưa cao Chính vì vậy, em xin được thực hiện đề tài khóa luận: “Một số giải pháp bảo mật cho HTTT Công ty cổ phần Cảnh Nước ” Mục tiêu và nhiệm vụ nghiên cứu Mục tiêu và nhiệm vụ nghiên cứu của đề tài là tập hợp và hệ thống hóa một số lý thuyết bản về an toàn bảo mật HTTT, để từ đó xem xét đánh giá phân tích thực trạng vấn đề an tồn bảo mật HTTT công ty Từ đánh giá phân tích này, đưa số kiến nghị đề xuất, số giải pháp nhằm nâng cao tính an tồn bảo mật HTTT doanh nghiệp Các mục tiêu cụ thể cần giải đề tài: - Làm rõ sở lý luận an toàn bảo mật HTTT Công ty cổ phần Cảnh Nước LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Đánh giá thực trạng an tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước dựa tài liệu thu thập Trên sở lý luận thực trạng đề giải pháp nâng cao an toàn bảo mật HTTT Công ty cổ phần Cảnh Nước Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu đề tài: - Các vấn đề an toàn bảo mật HTTT Công ty cổ phần Cảnh Nước - Một số giải pháp đưa để đảm bảo an toàn bảo mật HTTT doanh nghiệp - Hệ thống thông tin doanh nghiệp - Các sách phát triển đảm bảo an tồn bảo mật thơng tin doanh nghiệp Là đề tài nghiên cứu luận văn sinh viên nên phạm vi nghiên cứu đề tài giới hạn doanh nghiệp chỉ khoảng thời gian ngắn hạn Cụ thể: Về không gian: Nội dung đề tài chỉ mang tính vi mô, tập trung nghiên cứu tình hình an tồn bảo mật HTTT Công ty cổ phần Cảnh Nước nhằm đưa số giải pháp nâng cao an toàn bảo mật HTTT Về thời gian: Các số liệu được khảo sát năm gần nhất, đồng thời trình bày nhóm giải pháp, định hướng phát triển tương lai doanh nghiệp Phương pháp nghiên cứu 4.1 Phương pháp thu thập dữ liệu Thu thập dữ liệu thứ cấp: Tìm hiểu các thông tin về an toàn bảo mật HTTT qua Internet, qua các công trình nghiên cứu khoa học đã thực hiện và tài liệu sách báo có liên quan Thu thập dữ liệu sơ cấp:  Phương pháp sử dụng phiếu điều tra: Nội dung: Xây dựng phiếu điều tra thu thập dữ liệu từ đối tượng là nhân viên công ty về hoạt động đảm bảo an toàn bảo mật HTTT bên doanh nghiệp Cách thức tiến hành: Phiếu điều tra phát cho 10 nhân viên công ty để thu thập dữ liệu Mục đích: Nhằm thu thập thơng tin hoạt động an tồn bảo mật HTTT cơng ty, từ phân tích, đánh giá thực trạng triển khai đưa LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com giải pháp đắn để nâng cao hiệu hoạt động đảm bảo an tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước  Phương pháp phỏng vấn trực tiếp: Nội dung: Đưa một số câu hỏi về tình trạng mất an toàn và bảo mật HTTT của công ty vòng năm gần Cách thức tiến hành: Phỏng vấn riêng nhân viên của công ty về hoạt đợng đảm bảo an tồn bảo mật HTTT bên doanh nghiệp Mục đích: Nhằm khảo sát ý kiến mợt cách trực quan nhất hoạt động an toàn bảo mật HTTT doanh nghiệp 4.2 Phương pháp xử lý dữ liệu Từ những dữ liệu thu thập được sau tiến hành điều tra phỏng vấn và thu thập tài liệu sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn thông tin phù hợp với mục đích nghiên cứu của đề tài Trong trình xử lý thông tin, ta cần chia thông tin làm hai phương pháp chính: - Phương pháp định lượng: Sử dụng phần mềm Excel nhằm phân tích, so sánh các nguồn thông tin thu thập được để có cái nhìn chính xác nhất về tình hình an toàn bảo mật HTTT doanh nghiệp - Phương pháp định tính: Phân tích, tổng hợp thơng tin thơng qua câu hỏi vấn, phiếu điều tra tài liệu thu thập Nội dung khóa luận tốt nghiệp Nội dung khóa luận gồm: Phần I: Phần mở đầu Phần II: Nội dung Chương 1: Cơ sở lý luận về vấn đề đảm bảo an toàn HTTT Chương 2: Phân tích, đánh giá thực trạng về vấn đề đảm bảo an toàn HTTT cho Công ty cổ phần Cảnh Nước Chương 3: Các kết luận và đề xuất với vấn đề đảm bảo an toàn HTTT Công ty cổ phần Cảnh Nước LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHẦN II: NỘI DUNG CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN 1.1 Những khái niệm bản 1.1.1 Khái niệm chung Theo [1] thì khái niệm dữ liệu là: các giá trị phản ánh về sự vật, hiện tượng thế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng Có thể là một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng Dữ liệu có thể biểu diễn dưới nhiều dạng khác âm thanh, văn bản, hình ảnh, Theo [1] thì thông tin là: ý nghĩa rút từ liệu thơng qua q trình xử lý (phân tích, tổng hợp…), phù hợp với mục đích người sử dụng Thông tin có thể gồm nhiều giá trị dữ liệu được tổ chức cho nó mang lại một ý nghĩa cho một đối tượng cụ thể, một ngữ cảnh cụ thể Những thông tin có giá trị là những thông tin mang các đặc điểm sau: chính xác, xác thực; đầy đủ, chi tiết; rõ ràng (dễ hiểu); đúng lúc, thường xuyên; thứ tự, có liên quan;… Theo [1] thì khái niệm hệ thống là: một tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ ràng buộc lẫn và cùng hoạt động hướng tới một mục tiêu chung Phần tử ở có thể là vật chất hoặc phi vật chất: người, máy móc, thông tin, dữ liệu, phương pháp xử lý, quy tắc, quy trình xử lý Theo [1] thì hệ thống thông tin được xác định như: một tập hợp các thành phần được tổ chức (người, thủ tục, và các nguồn lực) để thu thập, xử lý, lưu trữ, truyền và phát thông tin tổ chức Hệ thống thông tin có thể là thủ công nếu dựa vào các công cụ giấy, bút Hệ thống thông tin hiện đại là hệ thống tự động hóa dựa vào máy tính (phần cứng, phần mềm) và các cơng nghệ thơng tin khác Theo [2] khái niệm an tồn thơng tin: Thơng tin coi an tồn thơng tin khơng bị làm hỏng hóc, khơng bị sửa đổi, thay đổi, chép xóa bỏ người không phép Bảo mật thông tin trì tính bí mật (Confidentiality), tính tồn vẹn (Integrity) tính sẵn sàng (Availability) thơng tin - Tính bảo mật (Confidentially): Đảm bảo có cá nhân cấp quyền phép truy cập vào hệ thống Đây yêu cầu quan trọng bảo mật LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thơng tin tổ chức doanh nghiệp thơng tin tài sản có giá trị hàng đầu, việc cá nhân không cấp quyền truy nhập trái phép vào hệ thống làm cho thơng tin bị thất đồng nghĩa với việc tài sản cơng ty bị xâm hại, dẫn đến phá sản - Tính tồn vẹn (Integrity): Đảm bảo thơng tin ln trạng thái đúng, xác, người sử dụng làm việc với thông tin tin cậy chân thực Chỉ cá nhânđược cấp quyền phép chỉnh sửa thông tin Kẻ cơng khơng có ý định đánh cắp thơng tin mà cịn mong muốn làm cho thơng tin bị giá trị sử dụng cách tạo thông tin sai lệch gây thiệt hại cho công ty - Tính sẵn sàng (Availabillity): Đảm bảo cho thơng tin ln trạng thái sẵn sàng phục vụ, lúc người sử dụng hợp pháp có nhu cầu truy nhập vào hệ thống Có thể nói là u cầu quan trọng nhất, thơng tin hữu ích người sử dụng cần dùng được, yêu cầu đảm bảo yêu cầu cuối không đảm bảo thơng tin trở nên giá trị 1.1.2 Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh nghiệp 1.1.2.1 Khái niệm về phần mềm độc hại Phần mềm độc hại (Malware) loại phần mềm làm hại máy tính bạn, phần mềm độc hại công nhiều phương pháp khác để xâm nhập vào hệ thống với mục đích khác như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware), Virus: Là chương trình máy tính tự chép lên đĩa, file khác mà người sử dụng không hay biết Thông thường virus máy tính mang tính chất phá hoại, gây lỗi thi hành, lệch lạc hay hủy liệu Chúng có tính chất: Kích thước nhỏ, có tính lây lan từ chương trình này sang chương trình khác, từ đĩa sang đĩa khác lây từ máy sang máy khác, tính phá hoại thơng thường chúng tiêu diệt phá hủy chương trình liệu (tuy nhiên có số virus khơng gây hại chương trình tạo với mục đích trêu đùa) LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Máy tính sau được cài đặt lại rất có thể chứa các nguy tiềm ẩn mất an toàn thông tin, vì vậy cần có một số lưu ý để thiết lập máy tính mới an toàn chống lại các nguy bị tấn công sau: Bước 1: Tạo các mật khẩu mạnh Ngay quá trình thiết lập cấu hình máy tính, các tài khoản người sử dụng cần được tạo với mật khẩu có độ phức tạp nhất định Người dùng máy tính không nên đặt các mật khẩu quá ngắn và quá dễ đoán Một mật khẩu an toàn thường gồm các loại ký tự sau: ký tự hoa, ký tự thường; ký tự chữ số; ký tự đặc biệt (@#$%) Bước 2: Tháo gỡ các chương trình không cần thiết Sau cài lại máy, máy tính thường chứa các chương trình quảng cáo, giới thiệu hoặc bản dùng thử của các phần mềm Các phần mềm này có thể chứa sẵn các nguy mất an toàn thông tin Do đó, người dùng cần tháo bỏ các chương trình không cần thiết máy tính của mình quá trình thiết lập ban đầu Sử dụng chức Programs and Features để liệt kê các phần mềm đã được cài sẵn máy tính: Ấn vào biểu tượng Start ở góc màn hình bên trái, vào mục Control Panel > Programs > Programs and Features Hình 3.1: Chức liệt kê các phần mềm được cài máy tính Programs and Features 39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Bước 3: Kích hoạt chức tường lửa bảo vệ cá nhân máy tính Để đảm bảo an toàn an ninh mạng, cần kích hoạt phần mềm tường lửa trước kết nối đến bất kỳ mạng máy tính nào (Internet/Wifi/LAN…) Trên hệ điều hành Windows, có thể kích hoạt tường lửa bằng cách truy cập chức Firewall Control Panel: Start > Control Panel > System and Security > Windows Firewall > Turn Windows Firewall on or off, sau đó chọn các lựa chọn “Turn on…” và các tùy chọn bên dưới để kích hoạt Hình 3.2: Chức tưởng lửa máy tính Bước 4: Nâng cấp các phần mềm và hệ điều hành Windows Hệ điều hành của máy tính sau cài đặt lại có thể là phiên bản cũ chưa được vá lỗi bảo mật Do đó, người sử dụng cần thiết lập chế độ tự động nâng cấp và thực hiện nâng cấp cho hệ điều hành và các phần mềm khác: Start > Control Panel > System and Security > Windows Update > Change settings Trong các tùy chọn về nâng cấp, người sử dụng có thể tùy chọn theo nhu cầu của mình 40 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 3.3: Chức thiết lập cập nhật các phần mềm và hệ điều hành Windows Bước 5: Cài đặt phần mềm diệt virus Phần mềm diệt virus là lớp lá chắn quan trọng việc bảo vệ người sử dụng khỏi các mã độc và virus Do đó, cần có chương trình diệt virus để bảo vệ người dùng các hoạt động đầu tiên của người sử dụng máy tính 3.2.2 Nâng cấp hệ thống an toàn an ninh mạng công ty Nếu hệ thống mạng được bảo vệ đúng mức thì bất cứ một máy tính nào có hỗ trợ truy cập không dây hay có dây nằm vùng phủ sóng của thiết bị phát sóng đều có thể kết nối để truy cập Internet Do hầu hết các phiên bản phần mềm dựa vào TCP/IP của Microsoft đều hỗ trợ SSL (Secure Socket Layer) nên công ty có thể sử dụng giao thức mạng an toàn phổ biến này cho hệ thống mạng có dây của mình Mạng Internet doanh nghiệp còn tình trạng thả nổi, chưa có sự kiểm soát chặt chẽ, các nhân viên được tự truy cập Internet rất dễ làm cho máy tính bị nhiễm virus, phần mềm độc hại Bên cạnh rủi ro thất thơng tin, Internet cịn lấy nhiều tiền bạc doanh nghiệp làm việc nhân viên lại tâm vào đọc báo điện tử, chơi game, download, facebook, twitter, … thay làm việc Giải pháp hữu hiệu nhất cho tình trạng này là doanh nghiệp nên triển khai sử dụng thiết bị bảo mật "Cisco RV220W" Cisco: 41 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 3.4: Thiết bị định tuyến Cisco RV220W - Cisco RV220W cung cấp khả phát sóng khơng dây với băng thơng rộng giúp nâng cao suất hoạt động cho doanh nghiệp việc truy cập nhanh tới tập tin lớn ứng dụng đa phương tiện nhân viên - Bảo mật cao cho kết nối từ xa: Ngoài khả cung cấp kết nối băng thông rộng, thiết bị định tuyến Cisco RV220W mang tới cho doanh nghiệp khả bảo mật cao khả kết nối từ xa Cisco RV220W hỗ trợ giao thức bảo mật cho kết nối từ xa gồm IP Security (IPsec) Secure Sockets Layer (SSL) VPN IP Security (IPsec) VPN cho phép kết nối văn phòng với mà không quan tâm tới khoảng cách vật lý văn phịng Secure Sockets Layer (SSL) VPN cung cấp khả bảo mật kết nối từ xa thơng qua bất cứ trình duyệt web hay ứng dụng định Đặc biệt thiết bị định tuyến cung cấp khả truy cập mở rộng có kiểm sốt cho doanh nghiệp, đối tác kinh doanh hay đối tượng khác mà không ảnh hưởng tới liệu quan trọng doanh nghiệp - Thiết lập dễ dàng: Người sử dụng dễ dàng thiết lập cấu hình cho thiết bị định tuyến Cisco RV220W thông qua giao diện với hỗ trợ trình thuật sĩ (Wizard) Bên cạnh đó, để tối ưu khả bảo vệ hệ thống mạng liệu, thiết bị định tuyến Cisco RV220W tích hợp thêm tính bảo mật mức doanh nghiệp tùy chọn thêm tính bảo mật lọc web Các tính thiết bị định tuyến Cisco RV220W: Cung cấp hiệu suất cao với kết nối có dây Gigabit kết nối khơng dây chuẩn N băng thông rộng, tốc độ cao cho việc truyền nhận liệu Tích hợp thiết bị chuyển mạch cổng tốc độ Gigabit 42 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Cho phép người sử dụng lựa chọn băng tần phát sóng chuẩn g (2.4Ghz) hay chuẩn a (5.0 Ghz) cho việc chống nhiễu, giúp cải thiện hiệu suất cho việc kết nối không dây Cung cấp khả truy cập an toàn kết nối văn phòng, cho phép nhân viên làm việc từ xa thông qua giao thức VPN với giao thức bảo mật IPSec SSL Cung cấp hệ thống tường lửa mạnh, kết nối với mạng riêng ảo (VLAN) hệ thống bảo mật không dây mạnh mẽ giúp bảo vệ hệ thống mạng doanh nghiệp Ngoài ra, thiết bị cho phép khách hàng tùy chọn tính bảo mật Cisco ProtectLink Web giúp bảo vệ hệ thống máy chủ web Thiết bị định tuyến Cisco RV220W cung cấp giao diện quản lý trực quan thơng qua trình duyệt web với trình thuật sĩ cho việc cài đặt thiết lập cấu hình Khi cài đặt thiết bị, doanh nghiệp nên chọn cài giao thức WPA2 (WiFi Protected Access II) thay thế cho WPA đã dùng trước để tăng cường mức độ bảo mật cho hệ thống mạng không dây của doanh nghiệp Giao thức WPA2 có các ưu điểm sau: Mức độ bảo mật được cải tiến, lỗ hổng của nó khá hạn chế, những kẻ tấn công phải có mật khẩu truy cập vào wifi đã được bảo mật thì mới có thể tấn công được mạng nội bộ của doanh nghiệp Sử dụng mã hóa khối, có hỗ trợ mã hóa dòng Sử dụng CCMP/AES (Counter Cipher Mode with Block Chaining Message Authentication Code Protocol) để tính mã MIC, có độ tin cậy cao nhất 43 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 3.5: Cấu hình điển hình Vì nguồn ngân sách còn hạn hẹp và quy mô công ty còn nhỏ nên Cisco RV220W được coi là giải pháp bảo mật hữu hiệu nhất cho doanh nghiệp ở thời điểm hiện tại 3.2.3 Một số biện pháp phòng chống mã độc Sử dụng thư điện tử thận trọng: Mã độc có thể lây nhiễm vào máy tính người sử dụng thông qua các tệp tin đính kèm thư điện tử Các tệp tin này thường được đính kèm các thư điện tử của người lạ gửi đến nạn nhân hoặc thư điện tử giả mạo quan tổ chức Do đó, người sử dụng không nên mở các tệp tin đính kèm thư điện tử nhận được từ một người lạ hoặc mộ người có địa chỉ thư điện tử giống với những người mà mình quen biết Ngoài ra, chúng ta có thể dùng chương trình diệt virus để dò quét tệp tin đính kèm trước đọc nội dung Cẩn thận truy cập các trang web mạng Internet: Chỉ cần truy cập vào một trang web độc hại là người dùng đã có thể bị lây nhiễm mã độc vào máy tính của mình Các trang web thường dụ dỗ người sử dụng truy cập thông qua các liên kết gửi qua mạng xã hội, thư điện tử hay tin nhắn Vì vậy, người sử dụng cần thật thận trọng truy cập vào các trang web lạ được gửi đến từ người khác quá trình sử dụng các dịch vụ mạng Internet Hầu hết các trình duyệt Internet sẽ cảnh báo các trang web độc hại, nhiên người dùng vẫn phải cảnh giác cho dù trình duyệt Internet không cảnh báo 44 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Không tải các phần mềm bẻ khóa, chương trình ứng dụng không rõ nguồn gốc mạng về máy: Các phần mềm độc hại có thể tồn tạo các phần mềm bẻ khóa, phần mềm miễn phí hay có trả phí không được tải từ trang web chính thức của nhà phát triển Các phần mềm này thường được đính kèm virus, mã độc và sẽ được kích hoạt người dùng chạy các phần mềm này Vì vậy, không nên tải các phần mềm từ các diễn đàn, mạng xã hội mà người dùng không rõ nguồn gốc Cách tốt nhất để phòng chống mã độc là tải phần mềm chính tại trang web của nhà sản xuất để tránh trường hợp tải phiên bản “giả mạo” kèm sẵn mã độc 3.2.4 Sơ bộ quy trình đánh giá kết quả cho các công cụ an toàn bảo mật HTTT Bước 1: Xác định đối tượng cần đảm bảo an toàn bảo mật Đối tượng chính của HTTT cần phải bảo vệ là thông tin của hệ thống đó Chính vì vậy công ty cần phân loại thông tin một cách chính xác, thông tin nào có mức độ bảo mật cao thì số lượng người được phép biết và sử dụng thông tin này càng ít và ngược lại Việc xác định mức độ quan trọng của thông tin này sẽ giúp cho công ty có những chính sách, công cụ hợp lý để hỗ trợ, kiểm soát độ bảo mật cho các thông tin này Bước 2: Xác định mục tiêu an toàn, bảo mật Ở bước này đòi hỏi sự nhạy bén của người quản trị HTTT việc: - Phát hiện các lỗ hổng bảo mật của HTTT, dự đoán trước các nguy tấn công để có các biện pháp phòng ngừa kịp thời - Ngăn chặn những hành động gây mất an toàn, bảo mật thông tin từ bên và bên ngoài vào HTTT công ty - Một HTTT an toàn và bảo mật phải đảm bảo được yêu cầu: Tính sẵn sàng, tính bảo mật và tính toàn vẹn Để đạt được yêu cầu này, người quản trị HTTT cần thực hiện một chu trình liên tục theo thời gian các biện pháp phòng chống, triển khai thiết bị và phần mềm đảm bảo an toàn bảo mật Bước 3: Xác định các loại tấn công Cần xác định rõ các loại tấn công vào HTTT của công ty để từ đó lựa chọn công cụ chuẩn xác nhất nhằm đảm bảo an toàn bảo mật HTTT Có loại tấn công chính: - Kỹ thuật tấn công xã hội (Social Engineering Attacks): Kẻ tấn công lợi dụng sự bất cẩn hay sự cả tin của những người công ty để lấy được thông tin 45 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com xác nhận quyền truy nhập của người dùng và có thể truy nhập hệ thống vào bằng thông tin đó - Tấn công phần mềm (Software Attacks): Loại này nhằm vào các ứng dụng, hệ điều hành, các giao thức Mục đích là để phá hủy hoặc vô hiệu hóa chúng để đạt được quyền truy nhập vào hệ thống và khai thác thông tin Loại tấn công này có thể dùng độc lập hoặc kết hợp với một số loại khác - Tấn công phần cứng (Hardware Attacks): Nhằm vào ổ cứng, bo mạch chủ, CPU, cáp mạng,… mục đích là để phá hủy phần cứng vô hiệu hóa phần mềm, là sở cho tấn công từ chối dịch vụ (Dos) Bước 4: Lựa chọn công cụ an toàn, bảo mật: Người quản trị HTTT cần vạch rõ sơ đồ đường của thông tin để từ đó đưa các biện pháp bảo mật thích hợp tại mỗi điểm nút hay mỗi lớp mà hacker dễ tấn công đường này Trong các lớp của mô hình TCP/IP thường tiến hành các phương pháp bảo mật mang tính kết hợp giữa các lớp: Lớp 1: Tại sẽ có các chính sách lọc gói tin các router kết nối tới nhà cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, Firewall, IPS tích hợp phần mềm IOS để bước đầu ngăn chặn các dịch vụ không cần thiết Lớp 2: Sử dụng NIPS (Network IPS) để quan sát những dữ liệu vào Internet, có dấu hiệu của sự mất an toàn thì lập tức thông báo cho trung tâm quản lý hoặc trường hợp khẩn cấp có thể khóa các kết nối này lại Lớp 3: Tại sử dụng bức tường lửa cho phép ngăn cách làm vùng DMZ (Demilitarized Zone), Outside, Inside Các Server công cộng sẽ thuộc vùng DMZ và được bảo vệ rất nghiêm ngặt Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS (Network-based Intrusion Prevention) và HIPS (Host-based Intrusion Prevention) cài các Server Hệ thống này sẽ phát hiện những tấn công các hệ điều hành và cho phép có những thông báo cho quản trị mạng hoặc đóng băng các kết nối trường hợp khẩn cấp Bước 5: Hoạch định ngân sách an toàn, bảo mật Việc công ty dành ngân sách cho chương trình đảm bảo an toàn và bảo mật HTTT sẽ ảnh hưởng tới việc lựa chọn các công cụ an toàn và bảo mật cho phù hợp với quy mô và ngân sách của công ty Người quản trị HTTT phải tính 46 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com toán làm với chi phí thấp nhất vẫn đạt được những mục tiêu mà công ty đã đề Có phương pháp xác định ngân sách dành cho hoạt động đảm bảo an toàn và bảo mật HTTT mà các công ty thường áp dụng là: - Xác định theo tỷ lệ phần trăm doanh thu: có nghĩa là ngân sách dành cho hoạt động an toàn và bảo mật HTTT sẽ phụ thuộc vào biến động của mức tiêu thụ hằng năm của công ty - Cân bằng cạnh tranh: Xác định ngân sách ngang bằng với mức chi của các công ty cạnh tranh khác - Căn cứ vào mục tiêu và nhiệm vụ phải hoàn thành: Phương pháp này đòi hỏi người quản trị HTTT phải xác định được những mục tiêu cụ thể của chiến dịch đảm bảo an toàn và bảo mật HTTT rồi sau đó ước tính chi phí của các hoạt động cần thiết để đạt được những mục tiêu đó - Theo khả tài chính của công ty: Phương pháp này thường không có hiệu quả cao khả tài chính của doanh nghiệp thường không ổn định, bỏ qua sự ảnh hưởng của hoạt động đảm bảo an toàn và bảo mật HTTT đối với mức doanh thu mà công ty có được Công ty cổ phần Cảnh Nước nên lựa chọn phương pháp xác định theo tỷ lệ phần trăm doanh thu để phù hợp với tình hình hiện tại của công ty Bước 6: Đánh giá hiệu quả chương trình an toàn bảo mật Sau thực hiện kế hoạch đảm bảo an toàn và bảo mật HTTT, người quản trị hệ thống phải đo lường được tác động của nó đến tổng thể hoạt động của công ty thế nào Điều này đòi hỏi người quản trị phải đánh giá tác động của các công cụ đảm abro an toàn bảo mật HTTT cả trước và sau áp dụng đã mang lại những thuận lợi hay những khó khăn gì, tác động tích cực hay tiêu cực đến hoạt động của doanh nghiệp… Người quản trị cần thu thập cả những thông tin về phản ứng của các cấp lãnh đạo, các cá nhân nhân viên công ty,… để làm sở đánh giá những tác động của chương trình Để có lượng thông tin đầy đủ, người quản trị HTTT cần thu thập cả thông tin định lượng doanh thu, chi phí,… và thông tin không định lượng được mức độ hài lòng, thoải mái của nhân viên, mức độ thu nhập, lưu trữ, phản hồi thông tin của hệ thống để có được cái nhìn toàn diện về HTTT trước và sau áp dụng chương trình đảm bảo an toàn và bảo mật HTTT 47 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.3 Các kiến nghị với các tổ chức cấp cao Ngành CNTT Việt Nam cần phải có sự phát triển đột phá nữa, mạnh mẽ nữa so với 20 năm trước đây, cần phải tận dụng lợi thế của cuộc cách mạng công nghiệp lần thứ 4, khai thác thế mạnh về trí lực của người Việt Nam, đưa CNTT đến mọi nơi lãnh thổ Việt Nam, kể cả nông thôn vùng sâu, vùng xa để đưa Việt Nam phát triển bền vững, thoát khỏi tình trạng mất an toàn an ninh CNTT Phải có những chế, chính sách thiết thực hỗ trợ các doanh nghiệp CNTT về thị trường, về tiếp cận các nguồn lực, kể cả nguồn nhân lực và nguồn tài chính (thuế, tín dụng,…) để tạo điều kiện cho những doanh nghiệp này phát triển tại thị trường và ngoài nước Tăng cường phổ biến tri thức khoa học công nghệ toàn xã hội thông qua việc sử dụng các phương tiện truyền thông Người dân Việt Nam phải được trang bị những kiến thức bản về CNTT và an toàn CNTT để ngăn chặn các nguy xấu xảy từ những tin tặc, hacker để góp phần làm cho Việt Nam phát triển nhanh Bộ Thông tin và Truyền thông Việt Nam cần nhanh chóng hoàn thiện và ban hành dự thảo Tiêu chuẩn “Yêu cầu bản về an toàn HTTT theo cấp độ” để các doanh nghiệp có thể dựa vào đó sử dụng những giải pháp có chi phí không quá lớn mà vẫn mang lại hiệu quả cao 48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com KẾT LUẬN Ngày với phát triển bùng nổ công nghệ thông tin, hầu hết thông tin tổ chức, cá nhân lưu trữ hệ thống máy tính Cùng với phát triển tổ chức đòi hỏi ngày cao môi trường hoạt động cần phải chia sẻ thơng tin cho nhiều đối tượng khác qua mạng Việc mát, rị rỉ thơng tin ảnh hưởng nghiêm trọng đến tài nguyên thông tin, tài chính, danh tiếng tổ chức, cá nhân Cơng nghệ thơng tin truyền thơng đóng vai trị ngày quan trọng sống hàng ngày người, làm biến đổi sâu sắc cách thức làm việc, giải trí, ngun tắc tiến hành kinh doanh…Vì để đảm bảo an tồn thơng tin cần phải tìm hiểu, nghiên cứu nguy an tồn thơng tin như: nguy vật lý, phầm mềm độc hại,…và sử dụng biện pháp bảo vệ hệ thống thơng tin cách an tồn như: sử dụng sách, kỹ thuật an tồn thơng tin phần mềm diệt virus Đối với Công ty cổ phần Cảnh Nước kinh doanh lĩnh vực bất động sản nên việc bảo mật thông tin và HTTT là vô cùng cần thiết Công ty thực hiện các công tác nâng cấp và xây dựng HTTT của mình nhằm đảm bảo an toàn dữ liệu và bảo mật thông tin, hiệu quả vẫn chưa cao nguồn nhân lực cho phòng công nghệ còn hạn chế, nhân viên công ty chưa có ý thức cao việc đảm bảo an toàn và bảo mật HTTT Chính vì vậy, việc nâng cao kiến thức về an toàn, bảo mật cho người dùng là điều cần thiết Với đề tài “Một số giải pháp bảo mật cho HTTT của Công ty cổ phần Cảnh Nước” đề tài đòi hỏi nghiên cứu lâu dài mặt lý luận thực tiễn, đồng thời đòi hỏi người nghiên cứu phải có kiến thức sâu rộng kinh nghiệm lĩnh vực Là sinh viên thực tập, tầm hiểu biết, kinh nghiệm cịn hạn chế, khóa luận cịn thiếu nhiều thiếu sót Kính mong thầy giáo, giáo góp ý chỉnh sửa, bổ sung để khóa luận em có thể hoàn chỉnh 49 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC TÀI LIỆU THAM KHẢO [1] Bộ môn Công nghệ thông tin (2014), Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại, Hà Nội [2] Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu thương mại điện tử, NXB Thớng Kê, Hà Nợi [3] PGS.TS Nguyễn Bình (2006), Lý thuyết thơng tin, Học viện Cơng nghệ bưu viễn thông [4] Nguyễn Hữu Dũng (2009), Luận văn đề tài: Giải pháp nhằm nâng cao bảo mật HTTT quản trị tại công ty cổ phần công nghệ cao, Khoa Thương mại điện tử, Trường Đại học Thương mại [5] Website: http://www.bkav.com.vn/ [6] Website: https://quantrimang.com/ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHỤ LỤC PHIẾU ĐIỀU TRA Xin chào anh/chị Em sinh viên thực tập thuộc trường Đại học Thương mại Hiện em thực tập tìm hiểu thực trạng cơng ty Kính mong anh/chị dành thời gian trả lời giúp em số phát biểu sau Xin lưu ý khơng có câu trả lời sai, tất ý kiến trả lời có giá trị hữu ích cho việc nghiên cứu em Em mong nhận hỗ trợ nhiệt tình anh/chị Tên doanh nghiệp : CÔNG TY CP CẢNH NƯỚC Địa trụ sở chính: Tầng 10, tịa nhà Pacific Place, 83B Lý Thường Kiệt, phường Trần Hưng Đạo, quận Hoàn Kiếm, TP Hà Nội THÔNG TIN NGƯỜI ĐIỀN PHIẾU Họ tên:…………………………………………… Nam/nữ… Vị trí công tác: ……………………… I HẠ TẦNG KỸ THUẬT CNTT: Tổng số máy tính :……chiếc Số lượng máy trạm cơng ty (bao gồm máy tính để bàn, xách tay):…… Cấu hình máy trạm :………………………………………………… Số lượng máy chủ :…………………………………………………………… Cấu hình máy chủ :…………………………………………………………… Kết nối mạng nội bộ: a Có b Không II HẠ TẦNG NHÂN LỰC HTTT: Câu 1: Số nhân viên CNTT có đáp ứng chức quản lý CNTT hay khơng ? a Có b Không LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Câu 2: Việc đảm bảo an toàn bảo mật HTTT thực thường xuyên không? a Rất thường xuyên b Thường xuyên c Thỉnh thoảng d Không Câu 3: Mức độ quan trọng thành phần HTTT công ty nào? a Phần cứng b Phần mềm c Mạng d Con người e Cơ sở liệu Câu 4: Thách thức lớn an tồn bảo mật liệu cơng ty gì? a Ngân sách b Nhân lực Câu Mức độ an tồn, bảo mật thơng tin cơng ty? a Rất tốt b Tốt c Trung bình d Yếu Câu 6: Tần suất lưu liệu công ty? a tháng lần b tháng lần c tháng lần d Lâu Câu 7: Hiện nay, công ty sử dụng giao thức nào để bảo mật mạng không dây? a Giao thức WEP b Giao thức WPA c Giao thức WPA2 d Không rõ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Câu 8: Anh/chị hay đưa nhận xét về mức độ trang thiết bị phần cứng bảo mật cơng ty? a Khá đầy đủ b Cịn thiếu c Không rõ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước - Một số giải pháp đưa để đảm bảo an toàn bảo mật HTTT doanh nghiệp - Hệ thống thông tin doanh nghiệp - Các sách phát triển đảm bảo an tồn bảo mật thông... Đánh giá thực trạng an toàn bảo mật HTTT Công ty cổ phần Cảnh Nước dựa tài liệu thu thập Trên sở lý luận thực trạng đề giải pháp nâng cao an tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước Đối tượng... mật HTTT công ty .28 Biểu đồ 2.2 Mức độ quan trọng thành phần HTTT công ty .29 Biểu đờ 2.3 Thách thức an tồn bảo mật liệu công ty 30 Biểu đờ 2.4 Mức độ an tồn, bảo mật thơng tin công ty